احتمال هک شدن whmcs ام

نقل قول:

---

نوشته اصلی توسط VPS

من منتظر جواب شما هستم.
ممنون

---

با سلام
همکار عزیز . جناب سحادیه از کاربران مورد اعتماد است . و مطلبی رو بدون مطالعه و یا سند ذکر نمی کنند.
بله ایشان این مورد را کاملا صحیح می فرمایند . که این موضوع کمی قدیمی شده است . چون این مربوط به خیلی وقت پیشه.
حالا شما می خواهید exploit این مورد را ببینید تشریف بیارید شرکت بهتون حضوری نشون بدم.
whmcs مشکلات امنیتی عدبده ای دارد که برخی از آنها تاکنون public شده اند.
با تشکر

نقل قول:

---

نوشته اصلی توسط RoobinaServer

به whmcs اطلاع داده شده اما پچ نمیده دیگه میگه باید از آخرین ورژن استفاده کنید که برای خیلی ها چنین چیزی مقدور نیست.

تنها راهش همان گذاشتن پسورد هست روی پوشه ادمین و بعد از دیدن چنین موردی تمام پسورد ها عوض بشه و این که پسوردهای طولانی هم گذاشته بشه.


یا حق

---

با این کار هم زیاد کاری از پیش نمیبرید مشکل اصلی در اوردن لیست مشتریاست نه پسورد ادمین
بهترین کار آپدیت به آخرین ورژن هست گویا این مشکل رفع شده روش

نقل قول:

---

نوشته اصلی توسط tizparvaz

با این کار هم زیاد کاری از پیش نمیبرید مشکل اصلی در اوردن لیست مشتریاست نه پسورد ادمین
بهترین کار آپدیت به آخرین ورژن هست گویا این مشکل رفع شده روش

---

این مشکل کد زدن در بخش نام خود به خود به خاطر قانون حساس بودن ما به اطلاعات مشتریان خود به خود حل شده میباشد.


هیچ مشتری نمیتواند مشخصات خود را تغییر دهد.


یا حق

نقل قول:

---

نوشته اصلی توسط RoobinaServer

این مشکل کد زدن در بخش نام خود به خود به خاطر قانون حساس بودن ما به اطلاعات مشتریان خود به خود حل شده میباشد.


هیچ مشتری نمیتواند مشخصات خود را تغییر دهد.


یا حق

---

بله مشکل اساس ما هم این نیست ما 2 هفته پیش این مشکل رو حل کردیم الان یک اینجکشن خیلی جالبتر رو سایت ما انجام شد که به لطف اون شخصی که اینکارو انجام داد و نیت بدی از اینکار نداشت متوجه شدیم و مشکل اصلی همین جاست این مورد که تو پپروفایل میزنن در مقابل این اینجکشن که من گفتم هیچه
این اینجکشن کله اطلاعات whmcs رو در اختیار طرف میذاره مثل آب خوردن

دارم آپگریت میکنم ببینم حل میشه یا نه منتظرم بک آپ تکمیل بشه

نقل قول:

---

نوشته اصلی توسط tizparvaz

بله مشکل اساس ما هم این نیست ما 2 هفته پیش این مشکل رو حل کردیم الان یک اینجکشن خیلی جالبتر رو سایت ما انجام شد که به لطف اون شخصی که اینکارو انجام داد و نیت بدی از اینکار نداشت متوجه شدیم و مشکل اصلی همین جاست این مورد که تو پپروفایل میزنن در مقابل این اینجکشن که من گفتم هیچه
این اینجکشن کله اطلاعات whmcs رو در اختیار طرف میذاره مثل آب خوردن

دارم آپگریت میکنم ببینم حل میشه یا نه منتظرم بک آپ تکمیل بشه

---

کلا از ورژن جدید خوشم نمیاد :-| آپدیت کن اوکی بود و مشکلی نبود بگو.

این ورژنی که دست بنده هست یه جورایی اختصاصی ما شده و روش کلی کار انجام شده و مثل ساعت کار میکنه

اگر امکانش هست اون ضعف را پیغام خصوصی بگید (پابلیک نکنید) من تست کنم اگر راهی باشه ببندمش رو همین ورژن بمونیم :-|


یا حق

نقل قول:

---

نوشته اصلی توسط RoobinaServer

کلا از ورژن جدید خوشم نمیاد :-| آپدیت کن اوکی بود و مشکلی نبود بگو.

این ورژنی که دست بنده هست یه جورایی اختصاصی ما شده و روش کلی کار انجام شده و مثل ساعت کار میکنه

اگر امکانش هست اون ضعف را پیغام خصوصی بگید (پابلیک نکنید) من تست کنم اگر راهی باشه ببندمش رو همین ورژن بمونیم :-|


یا حق

---

بنده بر روی سرویس های شما بررسی نمودم و مشکلی در whmcs شما نبود.
با تشکر

و همچنان WHMCS قربانی میگیرد
من میگم چطوره کلیه دیتابیس رو برای عموم آزاد بذاریم دیگه؟ آخه این سیستمه؟ هر هفته یه باگ خطرناک؟
لطفاً بگین کسی با این باگ میتونه همه اطلاعات مشتریارو در بیاره؟ مثلاً 1000 تا مشتری؟ یا اگر روی صفحه admin پسورد باشه و مسیرش عوض شده باشه نمیتونه؟ لطفاً رو هوا نگین اگر دقیقاً اطلاع دارین بگین اگر اینطور باشه جمش میکنم از یه سیستم دیگه استفاده میکنم

با سلام
بله میشه کل دیتا مشتریان را کشید بیرون و با رمز گذاری در پوشه ادمین نیز کاری از پیش نمی رود.
با تشکر

نقل قول:

---

نوشته اصلی توسط dm800pvr

و همچنان WHMCS قربانی میگیرد
من میگم چطوره کلیه دیتابیس رو برای عموم آزاد بذاریم دیگه؟ آخه این سیستمه؟ هر هفته یه باگ خطرناک؟
لطفاً بگین کسی با این باگ میتونه همه اطلاعات مشتریارو در بیاره؟ مثلاً 1000 تا مشتری؟ یا اگر روی صفحه admin پسورد باشه و مسیرش عوض شده باشه نمیتونه؟ لطفاً رو هوا نگین اگر دقیقاً اطلاع دارین بگین اگر اینطور باشه جمش میکنم از یه سیستم دیگه استفاده میکنم

---

با کمی بررسی تمام مشکلات حل خواهد شد
بجای پاک کردن صورت مسئله به فکر حل کردن اون باشید
شما حتی اگر هیچ کاری انجام ندید و پوشه ادمین و تغییر بدید و پسورد بزارید + سطح دسترسی فایل کانفیگ و روی 600 قرار بدید
باز هم شرایط و برای فرد هکر سخت تر و زمان و برای خودتون تا حد زیادی می خورید
لطفا انتظار نداشته باشید همه کارا ها توسط دیگران انجام بشه
خودتون دست به کار بشید
تشکر

آقا کلا whmcs سیستمی هست که داره پیشرفت میکنه.
من میگم یه روز میاد که همه چیز امنیتشون به 100% میرسه!
به امید اون روز
ههه